Abo

Aufsatz : Ausgewählte Probleme des Data Act – insbesondere im Zusammenspiel mit der DS-GVO : aus der RDV 1/2024, Seite 5-16

Der neu geschaffene Data Act (DA) soll einen fairen Zugang zu und die Nutzung von Daten im Europäischen Binnenmarkt ermöglichen. Für die Praxis ist auch und gerade die Frage nach dem Verhältnis des DA zur Datenschutz-Grundverordnung (DS-GVO) von besonderem Interesse. Überdies kommt potenziellen Sanktionen bei Verstößen gegen den DA eine erhebliche Praxisbedeutung zu. Vor diesem Hintergrund wird in dem vorliegenden Beitrag nach einem einführenden Teil zu Entstehung und Zielen des DA (I.) unter Einschluss der zentralen Regelungsmechanismen (II.) vor allem das Zusammenspiel von DS-GVO und DA (III.) beleuchtet. Ein Schwerpunkt liegt hierbei auf der Verarbeitung personenbezogener Daten betreffend Fragen zu Verantwortlichkeit und Rechtmäßigkeit. Sodann wird auf die aufsichtsbehördliche Behandlung von Verstößen gegen den DA und hieran anknüpfende Sanktionen (IV.) eingegangen, bevor die Bearbeitung mit einem Ergebnis und Ausblick (V.) schließt.

I. Entstehung und Ziele des DA

Der Vorschlag für den DA wurde am 23.02.2022 von der Kommission angenommen und ist im Anschluss auf europäischer Ebene im Trilog-Verfahren verhandelt worden. Die finale Fassung der Verordnung wurde als zwischen den EU-Organen ausgehandelter Kompromiss und Ergebnis der Abstimmung im Parlament mit Zustimmung des Rates am 27.11.2023 verabschiedet.

Der DA ist 20 Tage nach seiner Veröffentlichung im Amtsblatt der Europäischen Union (22.12.2023) in Kraft getreten (am 11.01.2024). Die Regelungen des DA werden sodann ganz überwiegend[1] nach einer anschließenden Übergangsfrist von 20 Monaten Geltung beanspruchen (Art. 50 DA). Die Verordnung hat vor allem zum Ziel, die Datenwirtschaft in der Europäischen Union zu stärken.[2] In diesem Sinne sollen Hindernisse abgebaut werden, die einer Datenweitergabe im Wege stehen, vgl. ErwG 2 DA. Im Vordergrund stehen weiterhin die Gewährleistung der Autonomie der Nutzer in Bezug auf die durch die Anwendung vernetzter Produkte und verbundener Dienste generierten Daten, die Missbrauchsprävention bei vertraglichen Disparitäten, welche die Schaffung eines fairen Datenaustauschs zwischen Unternehmen behindern, die Förderung der Nutzung kommerziell verfügbarer Daten zu bestimmten Anliegen des öffentlichen Interesses, die Erleichterung eines reibungslosen Übergangs zwischen vertrauenswürdigen Dienstleistern für die Datenverarbeitung sowie die Ausarbeitung eines Rahmens zur Förderung effizienter Dateninteroperabilität.[3]

II. Datenzugangsrechte auf der Grundlage und am Maßstab des DA

Der DA regelt zwar keinesfalls nur Datenzugangsrechte, diese Zugangsrechte stellen aber eine der zentralen Neuerungen des DA-Regelungsregimes dar. Zugleich bilden die Zugangsrechte den Ausgangspunkt für die nachfolgend zu adressierenden datenschutzrechtlichen Problemstellungen. Bevor die Zugangsrechte dargestellt werden, sind zunächst die wesentlichen Begriffe, Anknüpfungspunkte und Akteure des DA in den Blick zu nehmen.

  1. Begriffsdefinitionen

Durch die Zugangsrechte aus Artt. 3, 4 und 5 DA sollen Daten, die durch die Verwendung von vernetzten Produkten und verbundenen Diensten generiert werden, sowohl dem Nutzer als auch – auf Verlangen des Nutzers – dritten Datenempfängern zugänglich gemacht werden.

a) Daten

„Daten“ sind nach Art. 2 Nr. 1 DA „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“.

b) Vernetztes Produkt

„[V]ernetztes Produkt“ ist in Art. 2 Nr. 5 DA legaldefiniert als Gegenstand, der Daten über die Nutzung oder Umgebung erlangen, generieren oder erheben und die Produktdaten übermitteln kann. Nach ErwG 14 DA gehören dazu bspw. Schiffe, Fahrzeuge, Haushaltsgeräte oder auch industrielle Maschinen und Anlagen.

c) Verbundener Dienst

„[V]erbundener Dienst“ wird definiert als ein digitaler Dienst, „bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“ (Art. 2 Nr. 6 DA).

d) Nutzer

„Nutzer“ ist nach Art. 2 Nr. 12 DA „eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt[4] oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt“. Hieraus resultiert gerade keine Einschränkung auf Verbraucher, die das Produkt oder den Dienst für persönliche Zwecke nutzen, sondern es kann etwa auch ein Unternehmer als Nutzer im Sinne des DA angesehen werden.[5] Zudem können auch mehrere Personen zugleich Nutzer eines vernetzten Produkts oder eines damit verbundenen Dienstes sein.[6]

e) Dateninhaber

Der „Dateninhaber“ ist in Art.  2 Nr. 13 DA definiert als „eine natürliche oder juristische Person, die nach dieser Verordnung, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat“.

f) Datenempfänger

„Datenempfänger“ sind nach Art. 2 Nr. 14 DA natürliche oder juristische Personen, „die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handel[n], ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und [denen] vom Dateninhaber Daten bereitgestellt werden, einschließlich eines Dritten, dem der Dateninhaber auf Verlangen des Nutzers oder im Einklang mit einer rechtlichen Verpflichtung aus anderem Unionsrecht oder aus nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, Daten bereitstellt“.

  1. Grundsätze des Datenzugangs

Einen materiell-rechtlichen Schwerpunkt des DA bilden die neu geschaffenen Datenzugangsrechte. Der DA unterscheidet insoweit zwischen Datenzugangsrechten der Nutzer und Datenzugangsmöglichkeiten von Dritten (i.e. Datenempfänger, Art. 2 Nr. 14 DA). Der Fokus der Betrachtung liegt im Folgenden auf den in Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA statuierten Rechten des Nutzers gegenüber dem Dateninhaber. Inhaltlich beziehen sich die Ansprüche auf alle Daten, die bei der Nutzung eines Produkts durch den Nutzer erzeugt oder gesammelt werden. Unabhängig davon, ob es sich bei den Daten um personenbezogene Daten oder nicht-personenbezogene Daten handelt, kann der Nutzer nach Art. 4 Abs. 1 DA von dem Dateninhaber verlangen, die Daten zur Verfügung gestellt zu bekommen.

Nach Art.  5 Abs.  1 DA kann der Nutzer zudem die Übermittlung der Daten an einen Dritten verlangen. Aus den DAErwägungsgründen geht hervor, dass diese Regelungen vor allem dem Ziel dienen, die Herausbildung eines Marktes für nicht-personenbezogene Daten zu fördern.[7] In Anbetracht des weiten Verständnisses, das dem Begriff personenbezogener Daten gem. Art. 4 Nr. 1 DS-GVO zumeist zu Grunde gelegt wird, ist davon auszugehen, dass von den Zugangsansprüchen regelmäßig auch Nutzungsdaten mit Personenbezug erfasst sein werden;[8] dies gilt insbesondere dann, wenn es sich bei dem Nutzer um eine natürliche Person handelt.[9]

a) Direkter Zugang des Nutzers (Art. 3 DA)

Vernetzte Produkte im Sinne des Art. 2 Nr. 5 DA sollen so konzipiert und hergestellt, verbundene Dienste (vgl. Art. 2 Nr. 6 DA) so konzipiert und erbracht werden, dass die von ihnen erzeugten Daten standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind (sog. data access by default), Art. 3 Abs. 1 DA.[10] Die Datenzugangsansprüche beziehen sich hierbei nicht nur auf die vom Nutzer erzeugten Daten. Vielmehr sollen die Dateninhaber darüber hinaus auch die für die Auslegung der in Rede stehenden Daten erforderlichen Metadaten zugänglich machen.[11]

Ob und inwiefern ein direkter Datenzugang für den Nutzer „relevant“ und/oder „technisch durchführbar“ ist, lässt sich weder aus dem Verordnungstext noch den Erwägungsgründen belastbar entnehmen. Die Auslegung dieser Tatbestandsmerkmale wird deshalb auch und gerade von den Entwicklungen in der Praxis nach Inkrafttreten des DA abhängen. Sollte sich ein standardmäßig eingerichteter direkter Datenzugang im konkreten Einzelfall als irrelevant oder unangemessen darstellen, wird der Nutzer auf den in Art. 4 Abs. 1 DA festgelegten Anspruch auf Datenzugang verwiesen.[12]

b) Indirekter Zugang für Nutzer (Art. 4 DA)

Soweit der Nutzer nicht direkt auf die Daten zugreifen kann, muss der Dateninhaber dem Nutzer diese Daten unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung stellen, sofern dies technisch machbar ist, Art. 4 Abs. 1 DA. Ausgangspunkt und Grundlage für den Anspruch auf Datenzugang ist auch hier stets das aktivierte Verlangen des Nutzers, ohne dass insoweit konkrete zusätzliche Anforderungen statuiert werden; insbesondere greifen weder spezifische Formvorschriften noch zeitliche Fristen.[13] Allerdings ist in Bezug auf das Format der betreffenden Daten das Erfordernis der Maschinenlesbarkeit zu beachten.[14]

Der Anspruch auf Datenzugang beinhaltet zwar keine Verpflichtung für den Dateninhaber, die betreffenden Daten aufzubewahren. Wegen der Zielsetzung einer gerechten Verteilung der Wertschöpfung aus Daten unter den Akteuren der Datenwirtschaft wird aber vertreten, dass dem Nutzer vor der Vornahme einer Löschung zumindest die Möglichkeit zum Datenzugang eingeräumt werden sollte.[15] Hiermit verbunden dürfte den Dateninhaber dann eine Pflicht treffen, den Nutzer vor der Löschung der Daten entsprechend zu informieren.

c) Datenzugang für Dritte (Art. 5 DA)

Auf Verlangen eines Nutzers oder einer in seinem Namen handelnden Partei muss der Dateninhaber die bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten einem Dritten unverzüglich und in der gleichen Qualität bereitstellen, wie sie dem Dateninhaber zur Verfügung steht, sowie gegebenenfalls kontinuierlich und in Echtzeit, vgl. Art.  5 Abs.  1 DA. Im Rahmen von Geschäftsbeziehungen zwischen Unternehmen kann der Dateninhaber bei der Umsetzung des Zugangsrechts ein Entgelt verlangen, Art. 9 Abs. 1 DA. Im Übrigen sind in diesen Fällen die Modalitäten des Datenzugangs und der Datennutzung gemäß Art. 8 Abs. 1 DA vertraglich zwischen dem Dateninhaber und dem Empfänger zu regeln.

Zu beachten ist weiter, dass im Rahmen des Art. 5 Abs. 1 DA auf die Perspektive des Nutzers abgestellt wird. Konzeptionell unberücksichtigt bleibt hingegen, ob und inwiefern der Dritte überhaupt ein Interesse an der Übermittlung und dem Empfang der Nutzerdaten hat. Vor diesem Hintergrund mag sich gegebenenfalls die – hier nicht weiter zu vertiefende – Frage stellen, wie sich eine Ablehnung der Datenübermittlung durch den Dritten auf das Recht des Nutzers nach Art. 5 Abs. 1 DA auswirkt.

III. DA und DS-GVO

Die Vorschriften des DA gelten sowohl für personenbezogene als auch für nicht-personenbezogene Daten. Bei der Verarbeitung von personenbezogenen Daten müssen daher mit dem DA und der DS-GVO beide, grundsätzlich auf derselben Normhierarchiestufe stehenden Regelungsregime für die Auseinandersetzung mit Fragen des Datenzugangs und der Datennutzung herangezogen werden. Erforderlich ist eine sorgfältige Abwägung und Auslegung der Regelungen, um Datenschutz und Datenzugang angemessen miteinander in Beziehung zu setzen und in Einklang zu bringen.

  1. Ausgangspunkt: Verhältnis von DA und DS‑GVO

Zunächst stellt sich die Frage, in welchem Verhältnis DA und DS-GVO zueinander stehen und welche Konsequenzen daraus für die datenschutzrechtliche Bewertung von Vorgängen erwachsen, die durch Rechte und Pflichten nach dem DA veranlasst werden. Sowohl DS-GVO als auch DA sind EU-Verordnungen,[16] die sich im Ausgangspunkt gleichrangig gegenüberstehen und grundsätzlich jede für sich uneingeschränkte Geltung beanspruchen.

a) Anwendbarkeit der DS‑GVO

Normative Anhaltspunkte und Aussagen zur Behandlung von Sachverhalten, die in die sich überlappenden Anwendungsbereiche von DA und DS-GVO fallen, sind insbesondere in Art. 1 Abs. 5 DA zu finden. So stellt Art. 1 Abs. 5 S. 1 DA fest, dass die DS-GVO und die ePrivacy-RL[17]„unbeschadet“ gelten für die Verarbeitung personenbezogener Daten, die im Zusammenhang mit den Rechten und Pflichten des DA erfolgt. In der Konsequenz sollte eine durch die Regelungen des DA veranlasste Datenverarbeitung nach der Intention des Verordnungsgebers den Anforderungen des bereits bestehenden Datenschutzrechts entsprechen (ErwG 7 S. 6 Hs. 1 DA); insbesondere muss die entsprechende Datenverarbeitung auf eine gültige Rechtsgrundlage gem. Art.  6 DS-GVO gestützt werden können (Hs. 2).

Die DS-GVO wird also nicht etwa im Anwendungsbereich des DA modifiziert oder gar außer Kraft gesetzt. Vielmehr ergänzt der DA nach der gesetzgeberischen Intention das präexistente Datenschutzrecht und lässt es dabei „unberührt“ (ErwG 7 S. 4 DA).[18] In diesem Sinne soll keine Vorschrift des DA so angewandt oder ausgelegt werden, dass das Datenschutzrecht oder das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation geschwächt oder eingeschränkt werden (ErwG 7 S. 5 DA).

Ausführungen zum Verhältnis von DA und DS-GVO finden sich darüber hinaus in weiteren speziellen Regelungen des DA. Bevor nachstehend auf diese Regelungen eingegangen wird, ist zunächst allgemein festzuhalten, dass ein Sachverhalt, der im Zusammenhang mit Rechten und Pflichten des DA steht sowie in den Anwendungsbereich der DS-GVO fällt, nach der gesetzgeberischen Intention des DA grundsätzlich (auch) vollumfänglich anhand der Maßstäbe der DS-GVO zu bewerten ist. Der DA kann daher zwar Regelungen enthalten, die den durch die DS-GVO gewährleisteten Schutz personenbezogener Daten ergänzen, eine Absenkung des Schutzgehalts aus der DS-GVO ist aber gerade weder eröffnet noch überhaupt bezweckt.

b) Öffnungsklauseln der DS‑GVO

Vor dem Hintergrund der vorstehend genannten Erwägungen ist zweifelhaft, ob Vorschriften des DA als eine Ausfüllung von Öffnungsklauseln der DS-GVO interpretiert werden können. Insbesondere ist damit die Frage aufgeworfen, ob Vorschriften des DA allfällige Pflichten zur Übermittlung personenbezogener Daten begründen können, die die Rechtfertigung einer Datenverarbeitung auf der Grundlage und am Maßstab des Art. 6 Abs. 1 lit. c, Abs. 3 S. 1 lit. a DS-GVO tragen. Bei einer solchen Lesart würde der DA den Umfang rechtmäßiger Datenverarbeitungen ausdehnen und könnte daher als eine Schwächung des Rechts auf Schutz personenbezogener Daten verstanden werden.[19] Eine Schwächung der DS-GVO-Rechte soll der DA ausweislich der Erwägungsgründe allerdings gerade nicht bewirken. Zugleich kann jedoch auch argumentiert werden, dass eine Norm, welche die durch eine Öffnungsklausel der DS-GVO eröffneten Spielräume nutzt, eben nicht im Widerspruch zur DS-GVO steht (vgl. hierzu Art. 1 Abs. 5 S. 2 DA). Die Möglichkeit der Verarbeitung personenbezogener Daten auf Basis einer gesetzlich geregelten Grundlage ist Art. 8 GRCh zudem immanent und stellt daher nicht ohne Weiteres eine Schwächung des Rechts auf Schutz personenbezogener Daten dar.[20]

c) Zwischenergebnis

Wenn und soweit der DA etwaige Pflichten des Dateninhabers begründet, zu deren Erfüllung die Verarbeitung personenbezogener Daten erforderlich ist, wird die datenschutzrechtliche Bewertung des betreffenden Sachverhalts in Ansehung von Art. 1 Abs. 5 S. 1, 2 DA grundsätzlich vollständig am Maßstab der DS-GVO vorzunehmen sein. Die weitere Auseinandersetzung in Rechtsprechung, Schrifttum und Wissenschaft wird zeigen, ob der DA so verstanden werden kann, dass die Vorschriften des DA als Ausfüllung der Öffnungsklauseln der DS-GVO herangezogen werden.

  1. Verantwortlichkeit nach der DS‑GVO

Für die Einhaltung der DS-GVO-Vorgaben ist der Verantwortliche im Sinne des Art.  4 Nr. 7 DS-GVO zuständig. Damit ist vorliegend zu fragen, wer im Hinblick auf die verschiedenen in Betracht kommenden Datenzugangs-Konstellationen des DA die datenschutzrechtliche Verantwortlichkeit trägt. Gemäß Art. 4 Nr. 7 DS-GVO ist derjenigen Stelle die Verantwortlichkeit zuzuweisen, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Die Zwecke der Verarbeitung sind das erwartete Ergebnis, welches beabsichtigt ist oder die geplante Aktion leitet.[21] Unter Mittel der Verarbeitung wird die Art und Weise verstanden, wie ein Ergebnis oder Ziel erreicht wird.[22] Diese Tatbestandsmerkmale sind nach der Rechtsprechung des EuGH nicht zu streng auszulegen, damit ein wirksamer und umfassender Schutz der betroffenen Personen gewährleistet werden kann.[23] Entsprechend setzt eine „Entscheidung“ im Sinne des Art. 4 Nr. 7 DS-GVO keinen formalistischen Akt voraus, vielmehr kommt es auf die tatsächlich ausgeübte Entscheidungsgewalt an.[24]

a) Ausgangssituation

Unabhängig davon, ob der Nutzer die Rechte aus dem DA geltend macht, werden die Daten zunächst durch den Dateninhaber erhoben und gespeichert. Der Dateninhaber bestimmt daher sowohl die Ziele der Datenverarbeitung als auch die für die Erreichung dieser Ziele einzusetzenden Mittel. Somit wird der Dateninhaber grundsätzlich nach Art. 4 Nr. 7 DS-GVO als Verantwortlicher anzusehen sein.[25] Allerdings mag sich die Zuweisung der Verantwortlichkeit ändern, wenn die Rechte aus Art. 4 und 5 DA geltend gemacht werden. Hierbei ist zu differenzieren zwischen einerseits Daten, die ausschließlich einen Personenzug zum Nutzer aufweisen und andererseits Daten mit (auch) Drittpersonenbezug.

b) Herausverlangen von nutzereigenen Daten

Wenn und soweit die beim Nutzer erhobenen Daten ausschließlich einen Personenbezug zu dem Nutzer aufweisen, stellt sich die Frage, wer im Falle eines Herausgabeverlangens nach Art. 4 Abs. 1 DA für die Datenverarbeitung verantwortlich ist. Auf den ersten Blick ist es naheliegend, dem Dateninhaber auch in dieser Konstellation die Verantwortlichkeit zuzuweisen. Allerdings ist zu beachten, dass sich nach der Rechtsprechung des EuGH die Verantwortlichkeit nicht aus einer Gesamtbetrachtung der Verarbeitungsschritte ergibt, sondern vielmehr für die einzelnen Verarbeitungsvorgänge jeweils gesondert bestimmt werden muss.[26] Dementsprechend kann aus dem Umstand, dass der Dateninhaber für die Erhebung und Speicherung der Daten verantwortlich ist, nicht gefolgert werden, dass sich diese Verantwortlichkeit auf die Übermittlung der Daten an den Nutzer erstreckt. Vielmehr ist zu prüfen, ob auch für diesen Verarbeitungsschritt die Tatbestandsmerkmale des Art. 4 Nr. 7 DS-GVO durch den Dateninhaber erfüllt werden.

Verlangt der Nutzer seine Daten heraus, so ist der Dateninhaber zur Übermittlung der Daten nach Art. 4 Abs. 1 DA verpflichtet. Der Dateninhaber ist allerdings gleichermaßen berechtigt bzw. verpflichtet, zu überprüfen, ob dem Begehren des Nutzers rechtliche Hindernisse entgegenstehen.[27] Teilweise wird vertreten, dass eine entsprechende Kontrollobliegenheit bereits ausreichend sein soll, um einen hinreichenden Einfluss auf die Zwecke der Datenverarbeitung anzunehmen – und damit eine Verantwortlichkeit zu begründen.[28] Hier ist jedoch zu beachten, dass der Zweck der Verarbeitung sich aus den dahinterstehenden Zielen des Verantwortlichen ergibt. Die Kontrollobliegenheit des Dateninhabers kann sich hingegen ausschließlich auf das „Ob“ der Datenverarbeitung, nicht aber auf das „Warum“ auswirken.

Darüber hinaus ist fraglich, ob die DS-GVO überhaupt Anforderungen für den Fall aufstellt, dass personenbezogene Daten des betroffenen Nutzers auf dessen Verlangen hin übermittelt werden. So dürfte es nicht zwingend sein, den grundrechtlichen Schutz personenbezogener Daten, dem die DS-GVO gem. Art. 1 Abs. 1 u. 2 DS-GVO zu dienen bestimmt ist, für diese Fallkonstellation zu aktivieren. Denn das Datenschutzgrundrecht aus Art.  8 GRCh soll auch und gerade die Datensouveränität der betroffenen Personen gewährleisten.[29] Eine Beschränkung der betroffenen Person für den Umgang mit den sie betreffenden Daten ist durch die Schutzfunktion des Grundrechts grundsätzlich nicht ohne Weiteres angezeigt.[30] Dass der Dateninhaber keinen entscheidenden Einfluss auf die Zwecke der Datenverarbeitung hat und ein grundrechtlicher Schutz der betroffenen Person deshalb nicht prima facie geboten ist, spricht gegen eine Qualifizierung des Dateninhabers als den nach Art. 4 Nr. 7 DS-GVO Verantwortlichen.

Allerdings ist bei der Zuweisung der Verantwortlichkeit die Systematik der DS-GVO zu beachten: Nach Art.  6 Abs.  1 lit. c DS-GVO ist eine Datenverarbeitung gerechtfertigt, wenn diese zur Erfüllung einer rechtlichen Pflicht erforderlich ist. Der Umstand, dass in diesen Fällen der Datenverarbeiter dem Grunde nach keinen Einfluss auf die Zwecke der Verarbeitung nehmen kann, steht nach der Systematik der DS-GVO der Zuweisung der Verantwortlichkeit nicht entgegen. Für diesen Befund spricht nicht zuletzt auch, dass nach Art.  6 Abs.  3 S.  2 DS-GVO die Zwecke der Datenverarbeitung sich bereits aus der Rechtsgrundlage ergeben müssen. Soweit eine rechtliche Verpflichtung des Datenverarbeitenden gegeben ist, wird eine Entscheidung über die Zwecke der Datenverarbeitung kein zwingendes Kriterium für die Begründung der Verantwortlichkeit sein (müssen).[31] Darüber hinaus ist es nicht notwendig, die vorliegende Konstellation aufgrund von grundrechtlichen Erwägungen aus dem Anwendungsbereich der DS-GVO herauszunehmen. Vielmehr kann die von Art. 8 GRCh intendierte Herrschaft der betroffenen Person über ihre Daten erreicht werden, indem bei der Auslegung der Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO die grundrechtlichen Wertungen angemessen berücksichtigt und einbezogen werden. Im Ergebnis wird deshalb in der vorliegenden Fallkonstellation grundsätzlich eine Verantwortlichkeit des Dateninhabers anzunehmen sein.

c) Übermittlung von nutzereigenen Daten

Auf Verlangen des Nutzers hat der Dateninhaber gemäß Art.  5 Abs.  1 DA die Nutzerdaten an Dritte zu übermitteln. Unter Berücksichtigung der vorstehenden Ausführungen ist der Dateninhaber trotz der fehlenden Möglichkeit, auf die Zwecke der Datenverarbeitung einen substanziellen Einfluss zu nehmen, als Verantwortlicher im Sinne des Art.  4 Nr. 7 DS-GVO anzusehen.

d) Herausverlangen bzw. Übermittlung von Daten mit Drittbezug

Herausfordernd(er) gestaltet sich die Zuweisung der Verantwortlichkeit in Konstellationen, in denen durch den Nutzer nicht nur eigene personenbezogene Daten, sondern darüber hinaus auch personenbezogene Daten Dritter generiert werden. Verlangt der Nutzer hier die Daten vom Dateninhaber heraus, so geschieht dies vor allem oder gegebenenfalls sogar nur zur Interessenverwirklichung des Nutzers. Mithin bestimmt der Nutzer in diesen Fällen über die Zwecke der Verarbeitung. Darüber hinaus ist nach der Rechtsprechung des EuGH eine Entscheidung über die Mittel der Datenverarbeitung bereits dann anzunehmen, wenn die von einem Dritten bereitgestellte Infrastruktur genutzt werden soll.[32] Das Herausgabeverlangen des Nutzers dürfte insoweit als Einverständnis in die Nutzung der Infrastruktur des Verantwortlichen zu verstehen sein, sodass auch eine Entscheidung hinsichtlich der Mittel durch den Nutzer gegeben ist. Somit werden die Nutzer hier als Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO anzusehen sein. Darüber hinaus sprechen die bereits genannten Gründe dafür, dem Dateninhaber trotz der fehlenden bzw. hinreichenden Entscheidungsmacht hinsichtlich der Zwecke der Datenverarbeitung ebenfalls die Verantwortlichkeit zuzuweisen.

Fraglich ist, ob hieraus eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 Abs. 1 DS-GVO von Nutzer und Dateninhaber folgt. Dazu ist notwendig, dass der Nutzer und der Dateninhaber gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Nach Auffassung des EDSA und der ständigen Rechtsprechung des EuGH setzt eine gemeinsame Verantwortlichkeit keine diesbezügliche Absprache zwischen den Beteiligten voraus.[33] Ausreichend soll vielmehr sein, dass die Beteiligten die jeweils im Voraus festgelegten Zwecke und Mittel durch schlüssiges Verhalten reziprok akzeptieren.[34] Dies setzt jedoch zumindest voraus, dass die an der Datenverarbeitung Beteiligten bewusst zusammenarbeiten. Vorliegend ist zu beachten, dass Nutzer und Dateninhaber gerade nicht den Weg der gemeinsamen Datenverarbeitung wählen, um ihre jeweiligen Ziele zu erreichen. Vielmehr handelt der Dateninhaber aufgrund der ihm aus Art. 4 Abs. 1 DA auferlegten Pflicht. Diese Konstellation entspricht nicht dem Leitbild der arbeitsteiligen Datenverarbeitung, welches Art.  26 Abs.  1 DS-GVO zu Grunde liegt. Somit ist von einer parallelen und gerade nicht von einer gemeinsamen Verantwortlichkeit von Nutzer und Dateninhaber auszugehen.

f) Zwischenergebnis

Nach der hier vertretenen Auffassung ist, wenn und soweit ausschließlich personenbezogene Daten des Nutzers verarbeitet werden, trotz der fehlenden Möglichkeit zu einer (substanziellen) Einflussnahme auf die Zwecke der Verarbeitung, der Dateninhaber nach Art. 4 Nr. 7 DS-GVO verantwortlich. Werden auch personenbezogene Daten Dritter verarbeitet, so tritt zur Verantwortlichkeit des Dateninhabers die Verantwortlichkeit des Nutzers hinzu. In Ermangelung einerplanmäßigen Zusammenarbeit zwischen Dateninhaber und Nutzer wird insoweit allerdings keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO begründet.

  1. Rechtmäßigkeit der Datenverarbeitung nach der DS‑GVO

Erstreckt sich das Verlangen des Nutzers auf Datenzugang auf die Übermittlung von personenbezogenen Daten, ist es die datenschutzrechtliche Aufgabe des Verantwortlichen, die Rechtmäßigkeit der Datenverarbeitung gem. Art. 6 Abs. 1 DS-GVO sicherzustellen. Die Rechtmäßigkeit der Datenverarbeitung setzt stets voraus, dass („mindestens“) ein Erlaubnistatbestand aus Art. 6 Abs. 1 DS-GVO erfüllt ist. Nach dem Wortlaut von Art. 6 Abs. 1 DS-GVO kann der Verantwortliche die Datenverarbeitung auch auf mehrere Rechtsgrundlagen stützen.[35] Als Rechtsgrundlagen kommen vorliegend in Betracht die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DS-GVO), die Vertragserforderlichkeit (Art. 6 Abs. 1 lit. b DS-GVO), die Erfüllung einer rechtlichen Pflicht (Art. 6 Abs. 1 lit. c. DS-GVO) und das berechtigte Interesse (Art. 6 Abs. 1 lit. f DS-GVO). Für die Beurteilung der Rechtmäßigkeit ist hierbei (erneut) zu differenzieren zwischen einer Konstellation, in der ausschließlich personenbezogene Daten des Nutzers verarbeitet werden, und solchen Konstellationen, in welchen personenbezogene Daten (auch) Dritter verarbeitet werden. Sofern personenbezogene Daten Dritter übermittelt werden sollen, trifft neben dem datenschutzrechtlich Verantwortlichen auch den Dateninhaber in Ansehung von Art. 4 Abs. 12 DA und Art. 5 Abs. 7 DA die Pflicht zur Prüfung, ob eine belastbare Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO für die Datenverarbeitung vorliegt und ob womöglich die erhöhten Anforderungen des Art.  9 DS-GVO betreffend sensible Datenkategorien zur Anwendung berufen sind. Falls Dateninhaber (nach dem DA) und Verantwortlicher (nach der DS-GVO) in der konkreten Fallkonstellation nicht personenidentisch sind, kommt der Frage nach der Rechtmäßigkeit der Datenverarbeitung somit eine doppelte Bedeutung zu. Dabei sind die Maßstäbe für die Beantwortung der Frage einheitlich und nicht davon abhängig, wer der Pflichtenadressat ist: Entscheidend kommt es darauf an, dass der datenschutzrechtlich Verantwortliche die Datenverarbeitung auf (mindestens) eine Rechtsgrundlage aus dem abschließenden Katalog des Art. 6 Abs. 1 DS-GVO stützen kann.

a) Nutzer ist betroffene Person

Zunächst ist zu fragen, was gilt, falls der Nutzer im Sinne des Art. 2 Nr. 12 DA die Übermittlung ihn betreffender Daten (an sich oder einen Dritten) verlangt und daher zugleich Betroffener der durch ihn veranlassten Datenverarbeitung (Art. 4 Nr. 1 DS-GVO) ist. Diese Konstellation setzt voraus, dass es sich bei dem Nutzer um eine natürliche Person handelt, da juristische Personen zwar Nutzer im Sinne des DA, nicht aber betroffene Personen nach der DS-GVO sein können. Für die Übermittlung der nutzerbezogenen Daten an den Nutzer oder Dritte ist hiernach der Dateninhaber nach Maßgabe der DS-GVOVorschriften verantwortlich.

aa) Einwilligung

Als Rechtsgrundlage für die Datenübermittlung kommt eine Einwilligung des Nutzers im Sinne von Art. 6 Abs. 1 lit. a DS-GVO in Betracht. Die materiellen Anforderungen an die Einwilligungserklärung der betroffenen Person ergeben sich auch und gerade aus Art. 4 Nr. 11 DS-GVO. Demnach muss die Einwilligungserklärung „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich“ abgegeben werden. Die DS-GVO geht aus von einer (Grund-)Konstellation, in welcher der Verantwortliche an die betroffene Person herantritt, um von dieser die Einwilligung einzuholen. Eine Einwilligungserklärung ist nur wirksam, wenn die betroffene Person von dem Verantwortlichen ausreichende Informationen zur Verfügung gestellt bekommen hat, sodass eine freie Entscheidung getroffen werden kann.

Die typische DA-Konstellation unterscheidet sich hiervon dahingehend, dass die betroffene Person an den Dateninhaber herantritt und selbst die Datenverarbeitung veranlasst. Die Ausübung des Anspruches aus Artt. 4 oder 5 DA könnte vor diesem Hintergrund als eine vorauseilende Einwilligungserklärung verstanden werden. Problematisch ist insoweit vor allem das Merkmal der Informiertheit aus Art. 4 Nr. 11 DS-GVO. Denn die Einwilligung stellt sich dar als Ausdruck der Datensouveränität des Einzelnen.[36] Entscheidet die betroffene Person, von sich aus freiwillig eine Einwilligung zu erklären, wird das Erfordernis der Informiertheit der Wirksamkeit der Einwilligung deshalb regelmäßig nicht entgegenstehen (können). Eine andere Auslegung würde sich bei näherer Betrachtung letztlich als eine unverhältnismäßige Beschränkung des in Art. 8 Abs. 1 GRCh verbürgten grundrechtlichen Selbstbestimmungsrechts der betroffenen Person darstellen. Somit wird die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO in den vorliegenden Konstellationen regelmäßig eine belastbare Rechtsgrundlage darstellen.

bb) Rechtliche Pflicht

Ferner kann erwogen werden, ob die Datenübermittlung gem. Art.  6 Abs.  1 lit. c DS-GVO gerechtfertigt ist, weil die Datenverarbeitung aus Sicht des Dateninhabers erforderlich ist, um eine rechtliche Pflicht aus Art. 4 Abs. 1 DA bzw. Art. 5 Abs. 1 DA zu erfüllen.[37] In diesem Sinne müsste es sich bei den beiden vorbenannten Normen des DA um Ausfüllungen der Öffnungsklausel aus Art. 6 Abs. 1 lit. c, Abs. 3 S. 1 lit. a DS-GVO handeln. Für ein solches Verständnis der Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA könnten, soweit sich die Datenzugangsrechte auf die Übermittlung oder Bereitstellung von nutzerbezogenen Daten beziehen, Art. 4 Abs. 12 DS-GVO und Art. 5 Abs. 7 DS-GVO ins Feld geführt werden: Beide Normen stellen jeweils die Pflicht des Dateninhabers zur Übermittlung von personenbezogenen Daten – nur dann – unter den ausdrücklichen Vorbehalt der Rechtsmäßigkeitsprüfung nach Art.  6 DS-GVO (sowie gegebenenfalls nach Art.  9 DS-GVO), wenn die Daten sich auf eine betroffene Person beziehen, die nicht der Nutzer ist. Es könnte daher erwogen werden, dass die Pflicht zur Übertragung von Nutzerdaten im Umkehrschluss vorbehaltlos bestehen soll, wenn der Nutzer die betroffene Person ist.

rson ist. Eine vorbehaltlose Pflicht zur Übertragung personenbezogener Daten steht aber nur dann im Einklang mit der DS-GVO, wenn die Pflicht zugleich eine rechtfertigende Wirkung gemäß Art.  6 Abs.  1 lit. c DS-GVO entfaltet. Denn anderenfalls entstünde ein Widerspruch zwischen DA und DS-GVO, der gem. Art.  1 Abs.  5 S. 2 DA zugunsten der DS-GVO aufzulösen wäre. Für ein Normverständnis, das Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA bezüglich der Übermittlung von Nutzerdaten (mittelbar über Art. 6 Abs. 1 lit. c, Abs. 3 S. 1 lit. a DS-GVO) die Funktion einer Rechtsgrundlage zukommen lässt, kann zudem ErwG 7 S. 10 DA fruchtbar gemacht werden. Danach böte der DA (nur dann) keine Rechtsgrundlage für die Übermittlung personenbezogener Daten, wenn die Daten sich nicht auf den Nutzer beziehen. Der gesetzgeberische Wille steht einer Interpretation der Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA als (mittelbare) Erlaubnistatbestände für die Übermittlung von Nutzerdaten somit nicht entgegen.[38] Im Umkehrschluss könnte dieser Erwägungsgrund vielmehr sogar als implizite Befürwortung eines solchen Normverständnisses verstanden werden.

Den vorbenannten Argumenten stehen die Erwägungen des Verordnungsgebers gegenüber, wonach die DS-GVO unberührt bleiben und das Recht auf Schutz personenbezogener Daten nicht abgeschwächt oder eingeschränkt werden soll (ErwG 7 S. 3 u. 4 DA).[39] Das Verhandlungsmandat des Rates hatte im Rahmen des Gesetzgebungsverfahrens die Möglichkeit, Artt.  4 und 5 DA mit Blick auf Nutzerdaten als Pflicht im Sinne des Art.  6 Abs.  1 lit. c DS-GVO auszugestalten, jedenfalls erkannt, ausdrücklich adressiert und (wohl) befürwortet.[40] Leider bietet die finale Fassung des DA nunmehr allerdings weder belastbare Anhaltspunkte dafür noch dagegen, ob die Position des Rates im Ergebnis Einzug in den DA gefunden hat. Art. 6 Abs. 1 lit. c DS-GVO findet in den Erwägungsgründen keine Erwähnung.[41] Die Gelegenheit zur Schaffung von Rechtssicherheit in dieser Frage wurde vom Verordnungsgeber somit versäumt.

cc) Berechtigtes Interesse

Dem Verantwortlichen verbleibt weiterhin die Möglichkeit, die Datenübermittlung gem. Art. 6 Abs. 1 lit. f DS-GVO auf ein berechtigtes Interesse zu stützen. Voraussetzung dafür ist, dass die Datenverarbeitung für die Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Dem Umstand, dass der Nutzer als Betroffener selbst die Datenverarbeitung wünscht, kommt insoweit eine hervorgehobene Bedeutung zu.[42] Denn zum einen ist es das berechtigte und offenkundige (Dritt-)Interesse des Nutzers an der Datenübermittlung, auf das der Dateninhaber sich gem. Art. 6 Abs. 1 lit. f DS-GVO berufen kann. Zum anderen stellt das Recht der betroffenen Person auf den Schutz der personenbezogenen Daten im Rahmen der Interessenabwägung vorliegend im Gesamtkontext kein gewichtiges widerstreitendes Interesse dar. Denn die betroffene Person, die die Datenübermittlung als Nutzer gem. Artt. 4 Abs. 1 DA bzw. 5 Abs. 1 DA verlangt, macht damit gerade Gebrauch von der ihr durch das Grundrecht aus Art.  8 GRCh vermittelten Verfügungsmacht über die sie betreffenden personenbezogenen Daten.[43]

b) Dritter ist (auch) betroffene Person

Die durch das IoT-Gerät erhobenen oder gesammelten, in der Kontrolle des Dateninhabers befindlichen Daten können Personenbezug (auch) zu einer natürlichen Person haben, die nicht Nutzer des betreffenden Produkts ist. Da Nutzer im Sinne des Art. 2 Nr. 12 DA nur ist, wer das „Besitz“-Recht an dem Produkt hat,[44] kommen verschiedene Personenkreise in Betracht, die – ohne Nutzer zu sein – mit dem Produkt in Kontakt kommen und von der Datenerhebung betroffen sein können. So mögen bspw. personenbezogene Daten der Familienmitglieder eines privaten Nutzers oder Daten der Beschäftigten eines als Nutzer zu qualifizierenden Unternehmens durch das Gerät erhoben oder gesammelt werden.

Übermittelt der Dateninhaber auf Verlangen des Nutzers personenbezogene Daten eines Drittbetroffenen, liegt eine parallele Verantwortlichkeit auf der Grundlage und am Maßstab der DS-GVO vor: Dateninhaber und Nutzer sind daher jeweils verantwortlich für die Gewährleistung der Rechtmäßigkeit der Datenverarbeitung.

aa) Einwilligung

Im Ausgangspunkt besteht grundsätzlich die Möglichkeit, die Einwilligung des Dritten als der betroffenen Person gemäß Art.  6 Abs.  1 lit. a DS-GVO einzuholen. Die Einholung einer wirksamen Einwilligung wird in dieser Konstellation allerdings vielfach mit erheblichen praktischen und rechtlichen Hürden verbunden sein. Denn die rechtlichen Anforderungen der DS-GVO gelten bereits bei der Verarbeitung von Daten, die sich auf eine im Sinne des Art. 4 Nr. 1 DS-GVO identifizierbare Person beziehen.[45] Um die Einwilligung des Betroffenen einholen zu können, muss die Person aber tatsächlich durch den Verantwortlichen identifiziert werden, was mit zusätzlichem Aufwand verbunden ist. Die betroffene Person muss anschließend für den Verantwortlichen erreichbar sein und motiviert werden können, die in Rede stehende datenschutzrechtliche Einwilligung zu erteilen.

Die Einwilligung muss zudem den rechtlichen Anforderungen des Art. 4 Nr. 11 DS-GVO genügen. In dem praktisch besonders relevanten Fall, dass die betroffene Person ein Arbeitnehmer des Nutzers ist und sich daher in einem qualifizierten Abhängigkeitsverhältnis befindet, werden mit Blick auf §  26 Abs.  2 S. 1 BDSG vielfach erhebliche Zweifel an der Freiwilligkeit einer abgegebenen Einwilligung bestehen. Die Freiwilligkeit mag unter Umständen gleichwohl durch eine angemessene Kompensation des Arbeitnehmers hergestellt werden können (vgl. § 26 Abs. 2 S. 2 BDSG).

Festzuhalten ist, dass die Einwilligung als rechtfertigende Rechtsgrundlage für die Datenverarbeitung nur dann in Betracht kommt, wenn alle betroffenen Personen in die Verarbeitung eingewilligt haben.

bb) Vertrag
Art. 6 Abs. 1 lit. b DS-GVO wird vorliegend für die Praxis zumeist keinen vorzugswürdigen Erlaubnistatbestand für die Datenübermittlung darstellen. Zwar ist denkbar, dass der Nutzer bzw. der Datenempfänger einen Vertrag mit der betroffenen Person schließt, der die betroffene Person finanziell kompensiert und zur Überlassung der in Rede stehenden Daten verpflichtet. In einer solchen Konstellation wird aber das Einholen einer Einwilligung ebenso möglich und grundsätzlich das vorzugswürdige Instrumentarium sein.[46]

cc) Rechtliche Pflicht

Die Übermittlung von Daten Drittbetroffener wird nicht durch Art.  6 Abs.  1 lit. c DS-GVO gerechtfertigt. Aus ErwG 7 S. 10 DA geht hervor, dass der DA keine Rechtsgrundlage enthalten soll zur Verarbeitung von personenbezogenen Daten, die sich nicht auf den Nutzer beziehen. Mit Blick auf die Verarbeitung von Daten Drittbetroffener werden Art. 4 DA und Art. 5 Abs. 1 DA daher nicht als eine Pflicht im Sinne des Art. 6 Abs. 1 lit. c, Abs. 3 DS-GVO interpretiert werden können.

dd) Berechtigtes Interesse

Schließlich könnte die Datenübermittlung auch hier unter Rekurs auf Art.  6 Abs.  1 lit. f DS-GVO gerechtfertigt sein. Dazu muss zunächst ein berechtigtes Interesse des Verantwortlichen an der Datenverarbeitung bestehen. Zu den berechtigten Interessen im Sinne des Art. 6 Abs. 1 lit. f DS-GVO können anerkanntermaßen nicht nur rechtliche, sondern darüber hinaus auch tatsächliche, ideelle und wirtschaftliche Interessen zählen.[47] Der Nutzer kann sich somit etwa auf das legitime Interesse stützen, durch seine Nutzung des Produkts entstehende und gesammelte Daten auf Datenmärkten zu monetarisieren oder zu Forschungszwecken zur Verfügung zu stellen. Eine Datenverarbeitung ist erforderlich, wenn sie zur Wahrung der Interessen des Verantwortlichen (oder eines Dritten) geeignet ist und keine gleich effektive mildere Alternative besteht, die dem Verantwortlichen zumutbar ist.[48]

Schließlich bildet die Abwägung der widerstreitenden Interessen den Kern des Erlaubnistatbestands aus Art.  6 Abs. 1 lit. f DS-GVO.[49] Die Abwägung fällt zugunsten des Verantwortlichen aus, wenn nicht die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Hier kann von der Normierung der Datenzugangsrechte in Art.  4 DA und 5 DA jedenfalls nicht auf eine Privilegierung der Interessen an einer Datenübermittlung im Rahmen der Interessenabwägung geschlossen werden.[50] Denn aus den Erwägungsgründen geht hervor, dass die Regelungen des DA vor allem der Förderung von Märkten betreffend nichtpersonenbezogene Daten dienen sollen.[51] Eine Schwächung des Rechts auf Schutz personenbezogener Daten durch eine Modifikation der Abwägungsmaßstäbe aus Art. 6 Abs. 1 lit. f DS-GVO soll hierbei gerade vermieden werden (vgl. ErwG 7 S. 5 DA). In diesem Sinne hat der Verantwortliche alle Umstände des Einzelfalles zu berücksichtigen. Bei dieser Interessenabwägung kommt es vor allem darauf an, ob die betroffene Person mit der Datenverarbeitung rechnen konnte.[52] Insoweit spielt die konkrete Beziehung zwischen der betroffenen Person und dem Verantwortlichen eine zentrale Rolle.[53]

c) Sensible Daten

Soweit sich die Datenübermittlung in allen der oben genannten Konstellationen auf sensible Daten bezieht, sind zusätzlich zu Art. 6 Abs. 1 DS-GVO auch die Anforderungen des Art. 9 DS-GVO zu berücksichtigen. Die Verarbeitung sensibler Daten im Sinne des Art. 9 Abs. 1 DS-GVO kann insbesondere nicht auf ein berechtigtes Interesse nach Art.  6 Abs.  1 lit. f DS-GVO gestützt werden. Falls sensible Daten des Nutzers oder Drittbetroffener übermittelt werden sollen, bedarf es gemäß Art. 9 Abs. 2 lit. a DS-GVO zudem einer ausdrücklichen Einwilligung der betroffenen Person. Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA stellen jedenfalls keine die Verarbeitung sensibler Daten rechtfertigenden Vorschriften im Sinne des Art. 9 Abs. 2 lit. g DS-GVO dar.

d) Datenerhebung und Weiterverarbeitung

Weiterhin ist hervorzuheben, dass die vorbenannten Erlaubnistatbestände nur die Datenübermittlung vom Dateninhaber an den Nutzer oder Datenempfänger im Rahmen von Art. 4 Abs. 1 bzw. Art. 5 Abs. 1 DA rechtfertigen. Die vorgelagerte Erhebung von Daten durch den Dateninhaber und die nachgelagerte Speicherung sowie Weiterverarbeitung der personenbezogenen Daten durch den Nutzer oder Datenempfänger bedürfen einer eigenständigen Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO.

Die Weiterverarbeitung durch den Datenempfänger, dem die Daten nach Maßgabe von Art.  5 Abs.  1 DA bereitgestellt wurden, unterliegt den zusätzlichen Schranken des Art.  6 Abs. 2 DA. Insbesondere dürfen die betreffenden Daten hiernach nicht dazu genutzt werden, um ein Produkt zu entwickeln, das im Wettbewerb mit dem Produkt steht, von dem die Daten stammen (Art. 6 Abs. 2 lit. e DA).[54]

  1. Folgen einer fehlenden Rechtsgrundlage

Ohne das Vorliegen einer entsprechenden Rechtsgrundlage ist die Übermittlung personenbezogener Daten gemäß Art. 6 Abs.  1 DS-GVO rechtswidrig. Die betreffenden personenbezogenen Daten dürfen hiernach nicht an den Nutzer oder Datenempfänger übermittelt werden. Das in Art. 83 DS-GVO sanktionsbewehrte Verbot adressiert den (bzw. die) Verantwortlichen. Fraglich ist, ob Art. 4 Abs. 12 DA und Art. 5 Abs. 7 DA ein zusätzliches, durch Art.  40 Abs.  4 DA sanktionsbewehrtes Verbot für den Dateninhaber statuieren.[55]

a) Reduzierung des Datenzugangsanspruchs

Normtechnisch wenig glücklich adressiert die deutsche Sprachfassung des DA die Frage, wie sich das Verbot rechtswidriger Datenverarbeitung nach der DS-GVO auf die schuldrechtliche Pflicht des Dateninhabers zur Gewährung von Datenzugang nach dem DA im Einzelnen auswirkt: Der Dateninhaber ist nach Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA auf Verlangen des Nutzers grundsätzlich zur Übermittlung aller Nutzungsdaten verpflichtet.[56] Dem Dateninhaber ist es zugleich gem. Art. 4 Art. 12 DA und Art. 5 Abs. 7 DA untersagt, die Daten von Drittbetroffenen ohne Vorliegen einer Rechtsgrundlage zu übermitteln.[57] Weiterhin verbietet Art. 6 Abs.1 DS-GVO dem Dateninhaber die Datenverarbeitung, falls nicht (mindestens) eine Rechtfertigungsgrundlage eingreift. Pflicht und Verbot scheinen sich damit prima facie unvereinbar gegenüberzustehen. Um die Widerspruchsfreiheit der Rechtsordnung zu gewährleisten, sollten die Regelungen dahingehend verstanden und angewendet werden, dass die entsprechenden Daten bereits nicht von der schuldrechtlichen Datenübermittlungspflicht des Dateninhabers umfasst sind.[58] Dies kommt in der englischen Sprachfassung des DA besser zum Ausdruck.[59] Zwar wird der mit einem Zugangsverlangen konfrontierte Dateninhaber hierdurch nicht von der vielfach schwierigen Prüfung der Frage befreit, ob eine DS-GVO-konforme Rechtsgrundlage für die Datenübermittlung gegeben ist.[60] Gelingt dem Dateninhaber diese Prüfung aber, wird er sich jedenfalls keiner Pflichtenkollision zwischen DA und DS-GVO ausgesetzt sehen. Denn der Nutzer kann nach dem DA eine Übermittlung von Daten Drittbetroffener nicht verlangen, wenn und soweit keine Rechtsgrundlage nach der DS-GVO vorliegt.

Mit Blick auf die Pflicht des Dateninhabers, Nutzerdaten gemäß Art. 4 Abs. 1 DA oder Art. 5 Abs. 1 DA zu übermitteln, existiert keine entsprechende Ausnahmeregelung für den Fall einer fehlenden Rechtsgrundlage nach der DS-GVO. Dies könnte darauf zurückzuführen sein, dass der Verordnungsgeber (etwa mit Blick auf Art. 6 Abs. 1 lit. c DS-GVO) stets vom Vorliegen einer gültigen Rechtsgrundlage ausgeht.[61] Selbst wenn dies nicht der Fall sein sollte, ist eine Pflichtenkollision für den Dateninhaber in der Praxis nicht zu erwarten, da die Datenverarbeitung auf eine Einwilligung des die Übermittlung veranlassenden Nutzers gem. Art. 6 Abs. 1 lit. a DS-GVO[62] oder auf die Wahrung seiner berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DS-GVO[63] gestützt werden kann.

b) Gemischte Datenbestände

Nicht-personenbezogene Daten, die zum selben Datenbestand gehören, werden von dem Verbot aus Art.  6 Abs.  1 DS-GVO nicht erfasst und scheiden daher grundsätzlich auch nicht nach Maßgabe von Art. 4 Art. 12 DA bzw. Art. 5 Abs. 7 DA aus dem Datenzugangsanspruch des Nutzers aus. Solche nicht-personenbezogenen Daten sind – sofern dies technisch, wirtschaftlich und rechtlich möglich ist – abzusondern und bereitzustellen. Ob und inwiefern es dem Dateninhaber unzumutbar sein kann, gemischte Datenbestände aus personenbezogenen und nicht-personenbezogenen Daten zu trennen, wird im DA nicht adressiert.[64] Kommt der Dateninhaber dem Datenzugangsverlangen des Nutzers nur unzureichend nach, droht jedenfalls ein Bußgeld gem. Art. 40 Abs. 4 DA; übermittelt er personenbezogene Daten ohne Rechtsgrundlage, haftet der Dateninhaber nach Art. 83 DS-GVO.[65]

c) Vorgeschobener Drittpersonenbezug

Teilweise wird befürchtet, Dateninhaber könnten künftig einen (an sich nicht gegebenen und aus strategischen Überlegungen instrumentalisierten) Drittpersonenbezug für nutzergenerierte Daten herstellen, um Datenbestände unter Verweis auf die Vorgaben der DS-GVO nicht nach den Regelungen des DA teilen bzw. zugänglich machen zu müssen. Hier ist festzuhalten, dass die Herstellung eines Personenbezugs mit umfangreichen Pflichten und entsprechenden Sanktionsrisiken nach der DS-GVO einhergeht. Der Dateninhaber müsste in der Konsequenz insbesondere die Rechtmäßigkeit der Daten verarbeitung gewährleisten und hierzu einen legitimen Zweck für die Datenverarbeitung festlegen. Ein solches strategisches Vorschieben eines Drittpersonenbezugs ist sowohl mit erheblichem Aufwand als auch beträchtlichen Risiken verbunden.

IV. Verstöße gegen den DA

Kapitel IX des DA regelt die Zuständigkeit hinsichtlich der Überprüfung der Anwendung der Verordnung sowie deren Durchsetzung.

  1. Zuständigkeit

Nach Art. 37 Abs. 1 DA ist es Aufgabe der Mitgliedstaaten, eine oder mehrere Behörden zu benennen bzw. neu zu schaffen, die für die Anwendung und Durchsetzung des DA verantwortlich sind. Die Mitgliedstaaten haben insoweit einen weiten Handlungsspielraum betreffend die organisatorische Ausgestaltung und Implementierung der entsprechenden aufsichtsbehördlichen Strukturen. Haben die Mitgliedstaaten mehrere Behörden als zuständig benannt, müssen diese Behörden bei der Aufgabenwahrnehmung zusammenarbeiten (vgl. Art. 37 Abs. 2 S. 1 DA). Um eine geordnete Zusammenarbeit gewährleisten zu können, müssen die Mitgliedstaaten einen Datenkoordinator benennen, die diese Zusammenarbeit koordiniert (Art. 37 Abs. 2 S. 1 DA).[66]

Die grundlegende organisatorische Ausgestaltungsfreiheit der Mitgliedstaaten wird allerdings durch die Vorgaben des Art. 37 Abs. 4 DA teilweise begrenzt. Gemäß Art. 37 Abs. 3 DA sind die Datenschutzaufsichtsbehörden zuständig für die Überwachung der Anwendung des DA, wenn und soweit personenbezogene Daten verarbeitet und geschützt werden müssen. Um diese Aufgabe wahrnehmen zu können, sind die Vorschriften der Artt. 51-59 DS-GVO entsprechend anzuwenden. Darüber hinaus bleibt die Zuständigkeit der Fachbehörden unberührt, wo es zu Anwendungsproblemen aufgrund des DA betreffend den Datenaustausch in spezifischen Sektoren kommt. Da der DA eine Zusammenarbeit zwischen den Behörden nicht für solche Konstellationen anordnet, in denen Fachbehörden nach Art. 37 Abs. 4 lit. a zuständig sind, resultiert hieraus eine ausschließliche Zuständigkeit der Fachbehörden. Weiterhin muss die Behörde, welcher die Zuständigkeit für die Überwachung der Anwendung der Vorschriften zur Datenportabilität bei einem Anbieterwechsel (Kap. VIII des DA) zugewiesen worden ist, über Erfahrungen auf dem Gebiet der Daten sowie der elektronischen Kommunikationsdienste verfügen (Art. 37 Abs. 4 lit. b DA). Um die effektive Durchsetzung der Vorgaben des DA nicht zu gefährden, sollte Art. 37 Abs. 4 lit. b DA nicht dahingehend angewendet werden, dass die im Übrigen zuständigen Behörden keine Expertise im Bereich „Daten“ aufweisen müssen.

  1. Aufgaben der zuständigen Behörden

Die Aufgaben der zuständigen Behörden sind in Art. 37 Abs. 5 aufgelistet. Insoweit besteht eine erhebliche Ähnlichkeit zwischen den im DA genannten Aufgaben einerseits und den Aufgaben der Datenschutz-Aufsichtsbehörden nach Art.  57 DS-GVO andererseits. Besondere Praxisrelevanz kommt Art. 37 Abs. 5 lit. d DA zu, wonach die zuständigen Behörden abschreckende finanzielle Sanktionen zu verhängen haben, so insbesondere Zwangsgelder und Geldstrafen mit Rückwirkung.[67] Die Formulierung, wonach Geldstrafen auch rückwirkend verhängt werden sollen, ist zumindest unglücklich gewählt. Gemeint sein dürfte hiermit nicht, dass Geldstrafen auch für Handlungen verhängt werden können, die vor dem Inkrafttreten des DA vorgenommen wurden. Vielmehr soll wohl zum Ausdruck kommen, dass die Behörden sowohl präventive Zwangsgelder als auch repressive Geldstrafen erlassen können.

Damit die zuständigen Behörden ihre Aufgaben wahrnehmen können, sind sie dazu befugt, von Nutzern, Dateninhabern oder Datenempfängern alle Informationen zu verlangen, die notwendig sind, um die Einhaltung der Vorgaben des DA überprüfen zu können (Art.  37 Abs.  14 DA). Dieses Informationsrecht der Behörden steht unter dem Vorbehalt, dass das Informationsverlangen in einem angemessenen Verhältnis zur Wahrnehmung der Aufgaben steht. Zudem soll jedes Informationsverlangen mit einer Begründung versehen werden.

Bei der Aufgabenwahrnehmung werden die zuständigen Behörden unabhängig tätig, vgl. Art. 37 Abs. 8 DA. Wenn und soweit einer bereits bestehenden Behörde zusätzlich zu ihrem bisherigen Aufgabenkreis die Überwachung der Anwendung und Vorgaben des DA zugewiesen worden ist, bezieht sich die Unabhängigkeit (nur) auf die Aufgabenwahrnehmung aus dem DA. Die Unabhängigkeit der Behörden wird durch Art. 37 Abs. 8 DA gewährleistet, wonach jegliche direkte oder indirekte Einflussnahme untersagt ist. Zudem dürfen die Behörden keine Weisung von öffentlichen Stellen oder privaten Stellen anfordern oder entgegennehmen. Zugleich sieht der DA aber vor, dass Behörden untereinander zusammenarbeiten. Eine Einflussnahme im Sinne der Norm dürfte in diesen Fällen entsprechend regelmäßig nicht anzunehmen sein.

  1. Beschwerderecht

Nach Art. 38 Abs. 1 DA haben natürliche und juristische Personen das Recht, Beschwerde bei der zuständigen Behörde einzulegen, wenn sie ihre Rechte aus dem DA verletzt sehen. Aus Art. 38 Abs. 1 DA leiten sich hierbei keine Voraussetzungen ab, welche von den Beschwerdeführern erfüllt werden müssen. Demnach dürfte bereits alleine die Behauptung einer Rechtsverletzung die Behörden zum Tätigwerden verpflichten. Hieraus droht ein nicht nur unerhebliches Missbrauchspotenzial zu erwachsen, da Dateninhaber ohne hinreichend belastbaren Anlass einer behördlichen Untersuchung ausgesetzt werden könn(t)en. Vor diesem Hintergrund sollte Art. 38 Abs. 1 DA in der praktischen Anwendung dahingehend ausgelegt werden, dass ein Tätigwerden der Behörde nur dann zu erfolgen hat, wenn der Beschwerdeführer eine Rechtsverletzung hinreichend substanziiert darzulegen vermag.

  1. Sanktionen

Nach Art. 40 Abs. 1 DA sind die Mitgliedstaaten verpflichtet, Sanktionsvorschriften zu erlassen, die bei Verstoß gegen die Vorgaben des DA sowohl wirksam und verhältnismäßig als auch abschreckend sind. Diese Formulierung ist angelehnt an Art. 83 Abs. 1 DS-GVO, wonach die vorbenannten Kriterien bei der Verhängung von Bußgeldern zu beachten sind. Wenn und soweit Verstöße gegen den DA in den Zuständigkeitsbereich der datenschutzrechtlichen Aufsichtsbehörden oder des europäischen Datenschutzbeauftragten fallen, sind die Bußgeldvorschriften der DS-GVO (bzw. der Verordnung (EU) 2018/1725) entsprechend anzuwenden. Hieraus ergeben sich mehrere praxisbedeutsame Fragen, so etwa ob Art. 40 Abs. 1 entsprechend Art.  83 Abs.  1 DS-GVO auszulegen ist (a.). Zudem ist zu untersuchen, welche Rechtsfolgen ein Doppelverstoß gegen sowohl den DA als auch gegen die DS-GVO durch dieselbe Handlung nach sich zieht (b.)

a) Auslegung des Art. 40 Abs. 1 DA

Bei der Verhängung von Geldbußen nach Art. 83 Abs. 1 DS-GVO müssen die Behörden die vorbenannten allgemeinen Maßstäbe und Vorgaben beachten. Wirksam und abschreckend in diesem Sinne ist eine Sanktion, die sowohl generalpräventiv als auch spezialpräventiv wirkt.[68] Verhältnismäßig ist die Sanktion, wenn unter Berücksichtigung der wirtschaftlichen Leistungsfähigkeit keine existenzgefährdende Belastung entsteht. Zugleich dient der Grundsatz der Verhältnismäßigkeit nicht nur als Ober-, sondern auch als Untergrenze (Abschreckungswirkung) für die Verhängung einer Sanktion.[69] Da Art. 40 Abs. 1 ebenfalls auf diese Maßstäbe abstellt, sind die Mitgliedstaaten dazu verpflichtet, bei dem Erlass von Sanktionsvorschriften die entsprechenden Vorgaben abzusichern und zu gewährleisten.

Fraglich ist weiterhin, ob es den Mitgliedstaaten offensteht, im nationalen Recht die Sanktionsvorschrift des Art. 83 DS-GVO entsprechend für anwendbar zu erklären. Der Verweis in Art. 40 Abs. 4 DA auf diese Vorschrift könnte dahingehend auszulegen sein, dass die DS-GVO-Sanktionen nur dann als angemessen anzusehen sind, wenn und soweit personenbezogene Daten betroffen sind. Da nach Art. 40 Abs. 1 DA den Mitgliedstaaten die Ausgestaltung der Sanktionsvorschriften weitgehend freigestellt ist, dürfte der Verweis auf Art. 83 DS-GVO eine ausreichende Umsetzung der Vorgaben des DA darstellen.

b) Verbot der mehrfachen Sanktion des Dateninhabers?

Nach dem Vorherigen steht fest, dass der Dateninhaber mit einer Handlung oder einem Verarbeitungsvorgang sowohl gegen die Vorgaben des DA als auch gegen die DS-GVO-Vorschriften verstoßen kann. Grundsätzlich wären die Aufsichtsbehörden nach Art. 40 Abs. 4 DA deshalb dazu befugt, wegen eines Verstoßes gegen jedes der beiden Sanktionsregime jeweils Bußgelder nach Art. 83 DS-GVO – in entsprechender Anwendung – zu verhängen.

Allerdings hat der Verordnungsgeber bei der Schaffung der DS-GVO zutreffend erkannt, dass eine automatische Addition von Geldbußen zu einer unverhältnismäßigen Belastung für den Täter führen kann. Deshalb privilegiert Art. 83 Abs. 3 DS-GVO den Täter dahingehend, dass bei mehrfachen Verstößen der Gesamtbetrag an Geldbußen nicht den Betrag übersteigen darf, welcher abstrakt für den schwerwiegendsten Verstoß zulässig wäre.[70]

Wortlaut und Telos der Bestimmung sprechen dafür, sowohl Fälle der Tateinheit als auch der Tatmehrheit als miterfasst anzusehen.[71] Weil nach Art. 40 Abs. 4 DA die Vorgaben des Art. 83 DS-GVO bei der Verhängung von Bußgeldern anzuwenden sind, sollte somit die Privilegierung des Art. 83 Abs. 3 DS-GVO auf parallele Verstöße gegen DA und DS-GVO in Tateinheit oder Tatmehrheit ebenfalls zur Anwendung gebracht werden.

V. Ergebnis und Ausblick

Der DA kann ein wertvoller legislatorischer Impulsgeber für die Entstehung eines europäischen Datenmarktes sein. Insbesondere das Aufbrechen von Datensilos und Konzentrationstendenzen verspricht positive Effekte für den im Entstehen begriffenen europäischen DatenBinnenmarkt. Allerdings folgen aus dem DA zugleich gravierende rechtliche Umsetzungs- und Anwendungsschwierigkeiten sowie Effektivitätshindernisse, so auch und gerade in Ansehung der Nutzerzentriertheit als konzeptionelles Leitmotiv sowie durch substanzielle Transaktionskosten. Insbesondere im Hinblick auf das Verhältnis zur DS-GVO ist zudem eine erhebliche Rechtsunsicherheit zu befürchten. Diese Befunde lassen begründete Zweifel aufkommen, ob der DA den von ihm erhofften maßgeblichen Beitrag für den Abbau der vom Verordnungsgeber in ErwG 2 DA zutreffend identifizierten Hindernisse für die Datenweitergabe wird leisten, die ihm zugedachten Funktionen wird angemessen erfüllen und die verfolgten Ziele wird erreichen können.[72]

Prof. Dr. Boris P. Paal, M.Jur. (Oxford) ist Inhaber des Lehrstuhls für Law and Regulation of the Digital Transformation, TU München, School of Social Sciences and Technology, Department of Governance. Of Counsel der Kanzlei Nikol & Goetz.

Ass. iur. Malte Cornelius ist Wissenschaftlicher Mitarbeiter an der Juristenfakultät der Universität Leipzig und promoviert unter der Betreuung von Professor Paal zu einem IT- und datenschutzrechtlichen Thema.

Ref. iur. Tim Seeland ist Wissenschaftlicher Mitarbeiter an der Juristenfakultät der Universität Leipzig und promoviert unter der Betreuung von Professor Paal zu einem KI- und datenschutzrechtlichen Thema.

[1] Abweichend gilt die Verpflichtung aus Art. 3 Abs. 1 DA nach Art. 50 DA für vernetzte Produkte und die mit ihnen verbundenen Dienste, die 32 Monate nach dem Tag des Inkrafttretens des DA in Verkehr gebracht wurden

[2] Dieses Ziel findet sich weiterhin bereits in der europäischen Datenstrategie von 2020 niedergelegt, COM(2020) 66 final.

[3] Vgl. ErwG 5 S. 1, 6; Wiebe, GRUR 2023, 227 (228).

[4] Unter Berücksichtigung anderer Sprachfassungen des Art.  2 Nr. 12 DA (im Englischen: „owns“; im Französischen: „appartient“) ist es überzeugend, dass nicht ohne Weiteres bereits der „Besitz“ ausreichend ist, um als Nutzer qualifiziert zu werden, sondern es vielmehr auf die Eigentümerstellung ankommt. Diese Lesart wird zudem bestätigt durch ErwG 18 S. 1 DA (dort: „Eigentümer“); im Ergebnis so auch Assion/Willecke, MMR 2023, 805 (806).

[5] ErwG 18, S. 1; Specht-Riemenschneider, MMR 2022, 809 (813).

[6] Assion/Willecke, MMR 2023, 805 (807).

[7] ErwG 26 DA.

[8] Assion/Willecke MMR 2023, 805 (810) weisen darauf hin, dass mit Blick auf die Anwendung und Auslegung der DS-GVO bestehende Rechtsunsicherheiten bei der Bestimmung des Personenbezugs sich auf den DA übertragen und auswirken.

[9] Zur faktischen Notwendigkeit eines Benutzerkontos, das (spätestens) zu einem Personenbezug der ihm zugeordneten Daten führt, Steinrötter, GRUR 2023, 216 (222).

[10] Vgl. hierzu auch ErwG 19 ff. DA.

[11] COM(2022)0068 – C9-0051/2022 – 2022/0047(COD), Art. 3 Abs. 1; Art. 4 Abs. 1 DA.

[12] Vgl. Specht-Riemenschneider, MMR 2022, 809 (815); Assion/Willecke, MMR 2023, 805 (807).

[13] Specht-Riemenschneider, MMR 2022, 809 (815).

[14] Hennemann/Steinrötter, NJW 2022, 1481 (1484).

[15] Specht-Riemenschneider, MMR 2022, 809 (815).

[16] Art. 288 Abs. 2 AEUV.

[17] Sowie damit die in Umsetzung der ePrivacy-RL etablierten Regelungen des TTDSG.

[18] Diese Aussage als „nichtssagend“ bewertend Assion/Willecke, MMR 2023, 805 (809); mit einer Analyse zum Unberührtheitsbegriff durch einen Vergleich der Regelungstechniken bei verschiedenen EU-Gesetzgebungsakten, Specht-Riemenschneider, ZEuP 2023, 638, (642 f. u. 661 ff.); dazu auch Steinrötter, GRUR 2023, 216 (217), der sich in Anbetracht „zunehmend komplexer werdende[r] Wechselwirkungen einzelner EU-Rechtsakte im daten- bzw. digitalrechtlichen Kontext […] konsistente Formulierungen mit klaren Edikten zum Konkurrenzverhältnis“ wünscht.

[19] So Specht-Riemenschneider, ZEuP 2023, 638 (643 f.).

[20] Zur Notwendigkeit der Differenzierung zwischen Ausgestaltung und Eingriff Kingreen, in: Calliess/Ruffert, EUV/AEUV, 6. Aufl., 2022, GRCh, Art.  8, Rn. 10; hierzu vertiefend Kingreen/Poscher, Grundrechte, 39. Aufl. 2023, Rn. 169 ff.

[21] EDSA, Leitlinie 07/202, 2021, S. 16; Wagner, ZD 2018, 307 (309).

[22] EDSA, Leitlinie 07/202, 2021, S. 16; Monreal, ZD 2014, 611 (612).

[23] EuGH, EuZW 2018, 534, Rn. 28; EuGH, ZD 2019, 455, Rn. 66.

[24] EDSA, Leitlinie 07/2020, Version 2.0, S. 15, Rn. 30; Hartung, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 4 Nr. 7, Rn. 13.

[25] So auch Steinrötter, GRUR 2023, 216 (219).

[26] EuGH, ZD 2019, 455, Rn. 74.

[27] Nach Art. 4 Abs. 8 DA kann der Dateninhaber in besonderen Ausnahmesituationen unter Berufung auf den Geschäftsgeheimnisschutz die Herausgabe der Daten verweigern.

[28] Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 6, Rn. 80.

[29] Vgl. Kingreen, in: Calliess/Ruffert, EUV/AEUV, 6. Aufl., 2022, GRCh, Art. 8, Rn. 10.

[30] Einen ähnlichen Gedanken entwickelt Bienemann im Kontext des Art.  15 DS-GVO, verwirft diesen Lösungsansatz allerdings sodann wieder, Bienemann, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl., 2022, Art. 15, Rn. 43.

[31] Vgl. Bienemann, in: Sydow/Marsch, DS-GVO/BDSG, 3. Aufl., 2022, Art. 15, Rn. 43.

[32] EuGH, ZD 2019, 455, Rn. 77

[33] EDSA, Leitlinie 07/202, 2021, S. 22 f.; EuGH, ZD 2019, 455, Rn. 77.

[34] Vgl. Lang, in: Taeger/Gabel, DS-GVO/BDSG, 3. Aufl., 2019, Art. 26, Rn. 23; DSK, Kurzpapier Nr. 16, 2018, S. 3.

[35] Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl., 2021, Art. 6, Rn. 8.

[36] Vgl. Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 6, Rn. 17; Schulz, in: Gola/Heckmann, DS-GVO/BDSG, 3. Aufl. 2022, Art. 6, Rn. 21.

[37] Dies erwägend Specht-Riemenschneider, ZEuP 2023, 638 (664 ff.)

[38] ErwG 7 S. 7 DA schließt allein die Interpretation als Rechtsgrundlage für die Erhebung oder Generierung von Nutzerdaten aus.

[39] Siehe hierzu oben unter III.1.b.

[40] Council of the European Union, 2022/0047(COD) v. 17.03.2023, S. 14: „In certain circumstances this Regulation imposes the obligation on data holders to make data available, in accordance with Article 6(1)(c) and 6(3) of Regulation (EU) 2016/679. […] Where the user is not the data subject, this Regulation does not create a legal basis in accordance with Article 6(1)(c) and 6(3) of Regulation (EU) 2016/679”

[41] Assion/Willecke, MMR 2023, 805 (810) sahen dies noch im Rahmen des Gesetzgebungsverfahren als Indiz dafür, dass Artt. 4 und 5 DA nicht als rechtliche Pflicht gelten sollen, bemängelten aber insgesamt die Unklarheit der Rechtslage im Gesetzesentwurf.

[42] Vgl. Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 6 Abs. 1, Rn. 88

[43] Vgl. Kingreen, in: Calliess/Ruffert, EUV/AEUV, 6. Aufl., 2022, GRCh, Art. 8, Rn. 10.

[44] S. Fn. 4 zum insofern potenziell missverständlichen Gesetzeswortlaut „besitzt“

[45] Zu den Maßstäben für die Identifizierbarkeit Klar/Kühling, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, DS-GVO, Art. 4, Rn. 19-30; Ernst, in: Paal/ Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 4 Rn. 8-13.

[46] Wenn die Datenverarbeitung zum primären Zweck des Vertrags gemacht werden kann, um die Rechtfertigung nach Art. 6 Abs. 1 lit. b DS-GVO herbeizuführen, droht das höhere Schutzniveau der widerrufbaren Einwilligung unterlaufen zu werden; s. hierzu Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art.  6 Abs.  33; Frenzel, in: Paal/Pauly, DS-GVO/BDSG, 3. Aufl. 2021, Art. 6, Rn. 13; EDSA, Leitlinien 2/2019 v. 08.10.2019 zur Verarbeitung personenbezogener Daten, Rn. 18, wonach die Bestimmung der angemessenen Rechtsgrundlage an die Grundsätze von Treu und Glauben (Fairness) und der Zweckbindung gebunden ist; EDSA, Verbindlicher Beschluss 4/2022 v. 05.12.2022, Rn. 107, wonach eine Rechtsgrundlage geeignet („appropriate“) ist, die die Grundrechte und Grundfreiheiten des Betroffenen schützt; einschränkend Bunneberg, Privates Datenschutzrecht, S. 59, sofern die Widerrufbarkeit der Einwilligung dem Datenverarbeiter nicht zuzumuten ist, was „häufig nicht der Fall sein [wird]“; kritisch Wolff in Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 544, der einen ausreichenden Schutz des Betroffenen durch das Vertragsrecht gewährleistet sieht.

[47] Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 6 Abs. 1, Rn. 98; Schwartmann/Klein, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2. Aufl., 2020, Art. 6, Rn. 145; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 6, Rn. 146a.

[48] Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 434; Arning, in: Moos/ Schefzig/Arning, Die neue Datenschutz-Grundverordnung, 2018, Kap. 5, Rn. 28.

[49] Taeger, in: Taeger/Gabel, DS-GVO/BDSG/TTDSG, 4. Aufl., 2022, Art. 6, Rn. 142; Buchner/Petri, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 6, Rn. 149.

[50] S. zu dieser Erwägung Specht-Riemenschneider, ZEuP 2023, 638 (667).

[51] Vgl. ErwG 26 DS-GVO.

[52] Vgl. ErwG 47 S. 3 DS-GVO

[53] Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.05.2022, DS-GVO, Art. 6, Rn. 72.

[54] Vertiefend zu den damit verbundenen Erwägungen betreffend den Investitionsschutz Heinzke, BB 2023, 201 (202 f.).

[55] Steinrötter, GRUR 2023, 216 (223).

[56] In Art. 4 Abs. 1 DA heißt es: „Soweit […] stellen die Dateninhaber […] bereit“; Art. 5 Abs. 1 DA formuliert: „auf Verlangen […] stellt der Dateninhaber […] bereit“

[57] Art. 4 Abs. 12 DA und Art. 5 Abs. 7 DA lauten: „[…] so dürfen personenbezogene Daten […] nur dann bereitgestellt werden, wenn […].“.

[58] In diesem Sinne auch Assion/Willecke, MMR 2023, 805 (810), die davon ausgehen, dass Dateninhaber insofern „von ihrer Pflicht zur Datenherausgabe freigestellt sind“. Versteht man Art. 4, Art. 12 DA und Art. 5 Abs. 7 DA als Ausnahmen von der Pflicht und nicht als eigene Verbotsnormen, dürfte eine (überobligatorische) Datenübermittlung ohne Rechtsgrundlage durch den Dateninhaber nicht zu einem Verstoß gegen den DA, sondern allein zu einem bußgeldbewährten Verstoß gegen die DS-GVO führen.

[59] Der Pflicht in Art. 4 Abs. 1 DA und Art. 5 Abs. 1 DA („[…] shall make available […]) steht die Ausnahme des Abs. 12 bzw. Abs. 7 gegenüber: „shall be made available […] only where there is valid legal basis […]“

[60] Hierzu Heinzke, BB 2023, 201 (208); Steinrötter, GRUR 2023, 216 (223).

[61] S. vorstehend unter III.3.a.bb.; ebenfalls im Ergebnis davon ausgehend, dass eine Übermittlung von Nutzerdaten stets zulässig ist Heinzke, BB 2023, 201 (205).

[62] Vgl. dazu III.3.a.aa.

[63] S. hierzu III.3.a.cc

[64] Vgl. Steinrötter, GRUR 2023, 216 (224) der in diesem Zusammenhang auf die Diskrepanz zu Art. 20 Abs. 2 DS-GVO hinweist.

[65] Auf dieses Dilemma hinweisend Heinzke, BB 2023, 201, 208; in diesem Sinne auch Steinrötter, GRUR 2023, 216 (223), wonach die bisher übliche Praxis ausscheidet, in Ansehung der DS-GVO vorsichtshalber stets und damit überobligatorisch von einem Personenbezug auszugehen; „[i]m Zweifel für den Datenschutz“ plädierend Assion/Willecke, MMR 2023, 805 (810).

[66] Die koordinierende Behörde wird als „Datenkoordinator“ bezeichnet, COM(2022)0068 – C9-0051/2022 – 2022/0047(COD), Art. 37 Abs. 2 DA.

[67] Die Formulierung in der deutschen Sprachfassung, wonach auch die „Einleitung von Gerichtsverfahren zur Verhängung von Geldbußen“ zu den Aufgaben der Behörden zählt, spielt zumindest im deutschen Recht keine Rolle.

[68] Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 83, Rn. 50.

[69] Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 83, Rn. 50

[70] Vgl. Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art. 83, Rn. 62.

[71] So auch Bergt, in: Kühling/Buchner, DS-GVO/BDSG, 4. Aufl., 2024, Art.  83, Rn. 60; im Übrigen spricht auch der Wortlaut der englischen Sprachfassung für eine Anwendung der Privilegierung auf Fälle der Tateinheit.

[72] Zu vergleichbaren Einschätzungen kommen Assion/Willecke, MMR 2023, 805 (810), wonach unbestimmte Rechtsbegriffe „absehbar zu sehr viel Rechtsunsicherheit und damit auch Konflikten führen [werden]“; Steinrötter, GRUR 2023, 216 (225), wonach der DA den „gordischen Knoten des Datenwirtschaftsrecht leider [nicht durchschlägt]“.